1.自我介绍一下
2.看你有参加过hw,可以描述一下经历和感悟吗?
3.有的人觉得hw初级没啥用,你怎么看?
4.到岗时间,目前在哪个城市,能实习多久?
5.你简历上写平时有渗透,能不能讲一下渗透经历?
6.介绍一个你比较熟悉的漏洞吧:sql注入
原理:在数据交互中,前端的数据传入到后台处理时,由于后端没有做足够严格的判断,导致其传入的“数据”被拼接到SQL语句中,被当作SQL语句的一部分执行。
防范:使用预编译,正则表达式过滤,开启魔术引号,加装waf等
7.你说了防范可以用预编译,介绍一下预编译。
SQL预编译是一种常见的数据库优化技术,其基本原理是将SQL语句和参数分开处理,先将SQL语句编译成一种中间形式,再将参数值与编译后的SQL语句进行动态绑定,最终生成可以直接执行的SQL语句。具体过程如下:
-
客户端向数据库发送预编译请求,其中包含SQL语句和参数列表。
-
数据库服务器端将SQL语句解析并进行语法检查,生成一个可以被预编译的中间表示形式。
-
数据库服务器端将中间表示形式发送回客户端。
-
客户端根据参数列表将中间表示形式中的占位符替换为实际的参数值。
-
客户端将生成的最终SQL语句发送给数据库服务器端执行。
通过SQL预编译,可以减少SQL语句的解析和编译时间,提高数据库的执行效率。此外,SQL预编译还可以防止SQL注入攻击,因为预编译的过程会对SQL语句和参数进行严格的类型检查和转换,使得攻击者无法通过注入恶意代码来破坏SQL语句的结构和语义。
8.自己平时有没有用前端或后端方法实现预编译
9.在校有引以为傲的经历
10.有没有什么你擅长的我没有问的
11.sql盲注的时候想要查询数据库版本如何构建语句?
12.冰蝎蚁剑这些软件为什么可以一句木马执行那么多功能
13.`http协议`的字段有了解吗,说一下都有哪些